Auge y olvido de las redes sociales: la comunicación humana al servicio de ciclos de usar y tirar

Cada cierto tiempo salta una nueva noticia sobre la "muerte" de una red social. Hace unos meses fue el turno de Skype.

✍️ E. Cezón https://t.co/Z4b9SICQnL

— RTVE Noticias (@rtvenoticias) June 30, 2025

Hace unos días me contactó Eva Cezón de RTVE para una nota que estaba elaborando con motivo del día de las redes sociales (que, se ve, se celebraba el lunes padasado día 30 de junio).

Las preguntas se centraban en cómo las redes van evolucionando y algunas de ellas van perdiendo fuerza (o son abandonadas). El resultado se ha publicado en Auge y olvido de las redes sociales: la comunicación humana al servicio de ciclos de usar y tirar.

No sé si tiene mucho interés, pero como suele pasar, intercambiamos bastantes ideas y al final salen unas pocas frases, así que copio aquí lo que le mandé. Sobre todo porque en un artículo de estas características no es posible poner todo lo que se habla y creo que hay un buen resumen de algunas de mis ideas fundamentales en estos temas.

Sobre la evolución y obsolescencia en la tecnología digital y algunas redes que han sido predomimantes han sido reemplazadas o absorbidas.

Hay una inevitable renovación generacional que muchas veces aparece como intento por parte de las empresas de captar nuevos clientes y también por los usuarios que las adoptan por reacción a lo que utilizan las generaciones anteriores. En algunos casos los viejos usuarios acuden a las nuevas redes por su valor o interés (los casos de instagram y TikTok donde se puede ver a gente más mayor) y en otros casos se quedan donde están los ‘amigos’ que han conocido (y también, claro, por la familiaridad con el uso, porque no todo el mundo es tan hábil adaptándose a las nuevas interfaces (aspecto y forma de interactuar). Eso se mezcla con la habilidad/capacidad de algunas de las viejas para captar un número suficiente de usuarios que les permita sobrevivir.

Sobre la innovación rápida y los ciclos de vida:

Las nuevas redes traen nuevas características, pero cada vez es más rápida la adopción de estas en las viejas (podemos ver publicaciones del tipo de las de TikTok o los Reels de Instagram en Facebook, en YouTube e incluso en LinkedIn). A veces eso les permite mantener a los viejos usuarios y otras veces les hace perder identidad. Lo que sí que es cierto es que todas las empresas tratan de activar características que les diferencien y las hagan más atractivas.

Sobre la inmediatez y lo desechable:

En muchos casos, cuando estamos en casa aburridos con el teléfono, lo único que queremos es una distracción ligera que nos ayude a pasar el rato. Y siempre hay gente dispuesta a darnos ese contenido que sirva para eso y, de paso, ganar dinero ellos y la red social. Esto ocasiona que, a veces, invirtamos ese tiempo en pura distracción de usar y tirar en lugar de otras tareas más provechosas. No obstante, sostengo desde hace tiempo que casi en cualquiera de las redes sociales podemos encontrar personas afines y que hacen cosas muy interesantes; incluso aprender. Pero hace falta una cierta voluntad de no dejarse llevar y tratar de llevar lo que nos sugieren hacia terrenos que nos pueden interesar más. Y no es difícil, basta con dar me gusta o saltar las publicaciones en los momentos adecuados.

Sobre la adaptación de las redes a las nuevas peticiones de los usuarios y cómo influye en su supervivencia o extinción:

Es cierto que los usuarios pedimos novedades y muchas veces estas hacen que cambiemos (o que empecemos a usar) los sitios que frecuentamos. Pero no hay que despreciar la costumbre y lo que sabemos manejar, que nos permite movernos con cierta confianza y soltura. Aquĺ podríamos poner el ejemplo de X (Twitter), que a pesar de su degradación no está sufriendo una desbandada total porque mucha gente todavía encuentra valor allí y es a lo que está acostumbrado.

Factores que pueden influir en la muerte de una red, como los cambios de propietarios.

El cambio de propiedad puede ser un momento decisivo para una red: los nuevos propietarios no se adaptan bien a la cultura del sitio, o ya tienen algún producto que desempeña el mismo papel y no quieren esa competencia ‘interna’ …. Hemos visto cambios notables en eso, como sucedió con una red de IRC, Freenode, que fue adquirida por alguien que no fue recibido y en pocos días la mayoría de la gente se había ido a una nueva red (Libera Chat). En este caso se trataba de usuarios más o menos avanzados, que no tuvieron ninguna dificultad en coordinarse, dejar el viejo sitio e irse al nuevo sin problemas. Finalmente, tenemos casos como Instagram, que fue adquirido por Facebook (Meta) y que han sabido mantener el espíritu original (más o menos) y también conservar una convivencia adecuada con el viejo producto.

Sobre la falta de actualización y la reacción de la gente joven:

La falta de actualización puede tener efectos en la entrada de nuevos usuarios, pero no hay que despreciar nunca a los antiguos: casos como el del IRC (que sigue vivo y en uso), o Facebook nos enseñan que puedes mantener un producto antiguo, donde las nuevas generaciones ya no entran, pero que goce de buena salud.

Sobre la competencia.

Siempre hay emprendedores intentando dar con la nueva idea que haga que los usuarios se cambien a sus redes y eso hace que todo avance. La competencia es, como dices, feroz, pero ya no hay duda de que hay un buen número de personas intentándolo e inversores apoyándoles.

Sobre las consecuencias, en particular la pérdida de nuestra huella digital.

Esto es algo que todavía no sé si somos capaces de examinar: efectivamente hay un riesgo de perder nuestros mensajes, fotos e identidades en esa eterna migración hacia nuevas redes. En muchos casos puede ser hasta bueno, porque siempre habrá etapas de nuestra vida que no queremos recordar, pero también deberíamos evaluar qué guardamos, cómo y dónde para poder mostrar, dentro de unos años aquellas fotografías de los sitios que visitamos, o los encuentros memorables. Quién más quién menos ya ha perdido algunas fotos que apreciaba, aunque no sé hasta que punto eso es diferente a cuando teníamos las fotos en papel y tampoco las volvíamos a ver nunca más.

Y la nostalgia digital.

Yo no soy muy nostálgico, pero veo a veces a la gente recordar sus buenos momentos en MySpace, o en Tuenti y, efectivamente, existe esa nostalgia. Supongo que se parece a la nostalgia ‘analógica’ de los recuerdos de los buenos ratos vividos. También hay que reconocer que esos momentos se quedan allí en muchas ocasiones y que los contactos y las relaciones dejan de existir por algún motivo (no siempre desagradable).

Sobre la superficialidad de los vínculos digitales y el cambio constante. ¿Estamos condenados a empezar de cero de manera permanente?

Yo creo que no. Las redes digitales precisamente nos permiten establecer vínculos más profundos y cercanos que sus contrapartes analógicas: cuando la única posibilidad que tenías de hablar con alguien que estaba lejos era una carta o una (cara) llamada de teléfono, en muchas ocasiones una mudanza era el fin de muchas relaciones. Eso ya no tiene por qué ser así, si las relaciones son auténticas. Y no sólo eso, sino que con personas cercanas, pero que no podemos ver todos los días por diversos motivos, estas redes nos permiten tener una cercanía que de otro modo sería imposible.

Sobre la posibilidad de mantener una red social permanente.

La red social permanente es la que mantenemos las personas, mediante las herramientas que tenemos a mano: es nuestra tarea conservarla, mantenerla y gestionarla. Y las herramientas nos permiten, de vez en cuando, ampliarla y mejorarla.

Lo que pueden aprender las nuevas plataformas de las que ya están consolidadas.

Respetar a los usuarios, ayudarles a mejorar su vida y ofrecerles valor. En muchas ocasiones vemos como las empresas solo buscan el beneficio económico y mejorar la cuenta de resultados y eso termina siendo un problema, cuando los usuarios encuentran la siguiente red social más divertida y ‘mejor’.

¿Cómo debemos relacionarnos en el entorno digital?

Efectivamente, para mi esa es la clave y lo digo siempre que me dejan: puedes dejarte llevar y puede que te entretengas un rato, o puedes tratar de buscar valor en lo que ves y haces. No se trata de (exagerando) buscar fuentes de conocimiento profundo (o sí, si ese es nuestro interés, claro), pero si tienes una afición, o hay algo que te gusta, puedes enfocar tu actividad en las redes a la búsqueda de ‘almas gemelas’, gente de la que aprender, e información valiosa. Es un poco más de esfuerzo que dejarse llevar, pero en mi opinión es mucho más satisfactorio.

Sobre las expectativas y repensar lo que las redes sociales deben ofrecernos.

Así es. Debemos tratar de hacer cosas que tengan sentido; aunque soy pesimista. La realidad nos muestra cómo nos dejamos llevar y hay gente que dedica horas y horas a actividades que sólo son entretenimiento.

Publicado originalmente en En la web de RTVE hablando sobre redes sociales.

Hace algún tiempo vi Hugs of Death: How should we think about resilience in the IndieWeb? y a pesar del título llamativo y que empieza con una parte algo técnica, me pareció interesante por lo que dice un poco más abajo.

Todo empieza porque una entrada del sitio llega a un agregador importante (Hacker News) y su proveedor parece que no aguanta la carga.

Either way, it’s clear that this little VPS couldn’t handle the load of the HN post getting popular.

Soluciones técnicas hay para evitar estos problemas, pero el autor se pregunta si realmente es importante.

Does it actually matter?

Al cabo de poco tiempo la página volvía a estar disponible y la cuestión era, ¿para qué tenemos un sitio como este? Se trata de compartir ideas, pensamientos y conocimientos al mundo, manteniendo la propiedad y el control de todo. Y esto es posible con pocos recursos (aunque podamos tener algún inconveniente de vez en cuando).

I like the fact that the IndieWeb can empower smaller creators to share their interests and creations with the world, while owning their own corner of the internet. I like the idea that the barrier to entry can be quite low, starting with something like a 512 MB VPS that someone can manage themselves. Maybe even something more DIY like a Raspberry Pi.

Nos dice también que estos problemas son preferibles a la centralización que supone utilizar ese otro tipo de servicios.

If there’s a bit of downtime or some teething problems, or a hug of death or two, is that preferable to adopting the centralised providers like GitHub and Cloudflare as the “default”, or giving newbies the idea that there’s no way to publish good content without an overkill auto-scaling setup?

Interesante.

Lo cierto es que este sitio está alojado ahora en Github Pages, aunque mantenemos el control (dominio y todo) para moverlo en cualquier momento a otro lugar. Tal vez lo pensemos.

Tenía guardado para comentar ChatGPT is transforming peer review — how can we use it responsibly? (lamentablemente no está en abierto, si alguien lo quiere que lo diga) y casualmente compartí en redes sociales el otro día este otro Using AI for Reviews, de uno de los fijos en mi lector de RSS, Lance Fortnow.

Decían en Nature que estaban observando un número significativo de revisiones hechas por IAs.

At major computer-science publication venues, up to 17% of the peer reviews are now written by artificial intelligence.

Como en tantas ocasiones, no es difícil del todo darse cuenta de la situación: el tono es formal y muy ‘verboso’, con palabras como ‘meticuloso’ y ‘encomiable’ apareciendo diez veces más que antes.

Y la cuestión es, claro, que nos guste o no estas herramientas han venido y están para quedarse (aunque se habla muy poco de qué sucedería si los proveedores deciden cortarnos el grifo o subir los precios, claro).

El razonamiento típico para adoptar estas herramientas tiene que ver con la ‘productividad’: falta de tiempo para hacerlo por métodos más tradicionales.

También hay otro razonamiento habitual y es si se puede restringir a tareas que sean ‘las correctas’ (corrección de texto, gramática, responder a preguntas simples sobre el manuscrito,…). Pero también puede suceder que este proceso haga todavía peor el (ya maltrecho) sistema de publicaciones científicas. Sin olvidar los temas de propiedad intelectual y la privacidad, claro.

Otra queja habitual de los que reciben este tipo de revisiones es la falta de profundidad y las alucinaciones.

Alguna ventaja más, por el otro lado, podría ser que la inteligencia artificial se fije en cosas que un revisor tradicional pasaría por alto.

Como solución, nos dicen, la que estamos adoptando en otros campos: añadir más interacciones al proceso; si los revisores y los autores pueden debatir probablemente haya más incentivos para hacer las cosas correctamente.

En cualquier caso, no podemos cerrar los ojos y pensar que nada pasa (con inconvenientes y ventajas).

Por su parte Fortnow comenta como tuvo que aceptar la norma de no utilizar IA para una revisión que tuvo que hacer.

I reviewed a paper recently and I had to agree not to use AI in any aspect of the reviewing process.

Lo hizo, nos dice, pero se sintió raro: al final, sería como tener prohibido usar una calculadora para revisar los cálculos que puedan aparecer. También dice que los modelos gigantes de lenguaje (LLMs, Large Language Models) tienen sus inconvenientes, pero también sus ventajas.

So I didn't but it felt strange, like I wouldn't be able to use a calculator to check calculations in a paper. Large language models aren't perfect but they've gotten very good and while we shouldn't trust them to find issues in a paper, they are certainly worth listening to.

La idea sería que la IA no escriba la revisión completa, o eso es lo que parece que están tratando de evitar.

Las inteligencias artificiales van siendo cada vez más capaces y resuelven problemas, al menos los habituales y comunes. Nada que hacer (ni se espera mucho) en el caso de los problemas interesantes.

It solves all my old homework problems and cuts through purported P v NP proofs like butter. I've tried it on some of my favorite open problems where it doesn't make new progress but it doesn't create fake proofs and does a good job giving the state of the art, some of which I didn't even know about beforehand.

Podríamos decir que tenemos inteligencias artificiales del nivel de un estudiante universitario y, por lo tanto, deberíamos tratar sus respuestas de esta forma.

We now have AI at the level of new graduate students. We should treat them as such.

También habla de los problemas de privacidad, puesto que los artículos que revisamos no deberían ser accesibles para nadie más y con estos procedimientos podrían terminar siendo material de entrenamiento de las inteligencias artificiales. Esto podría llevar a la divulgación de información secreta, si se hacen las preguntas adecuadas.

We do have a privacy issue. Most papers under review are not for public consumption and if uploaded into a large-language model they could become training data and be revealed if someone asks a relevant question.

La recomendación que nos hace es, cuandos seamos los autores, pasar una revisión del artículo con una IA, pidiéndole una revisión crítica y sugerencias. ¿Llegaremos a tener que remitir artículos certificados por alguna IA?

If you are an author, have AI review your paper before you submit it. Make sure you ask AI to give you a critical review and make suggestions. Maybe in the future we'd required all submitted papers to be AI-certified.

Y la conclusión es que, por ahora, una revisión hecha solo por un humano, o solo por una IA es peor que si se hace conjuntamente pero, ¿quién sabe qué sucederá en el futuro?

For now, humans alone or AI alone is just not the best way to do conference reviews. For now when you do a review, working with an AI system as an assistant will lead to a stronger review. I suspect in the future, perhaps not that far, AI alone might do a better job.

Por mi parte, he revisado unos cuantos artículos en los últimos meses y todavía no me he atrevido a lanzarlos contra una IA (me puede la prevención de mandar a estas cosas el trabajo de otros) pero creo que, efectivamente, las IAs nos ayudan a realizar parte de nuestro trabajo (alguna prueba estoy haciendo en otros ámbitos) y podemos tener un asistente que no deberíamos despreciar.

Eso sí, como el texto que escribimos aquí es completamente manual, llevamos una temporada flojeando. Siempre que alguien me pregunta por tener una bitácora le digo que tiene que adaptarse a su forma de pensar, trabajar y también integrarse en sus rutinas. Esto último es lo que se me ha roto con los horarios que he tenido este curso y he perdido el ritmo que ya veremos si consigo recuperar.

Estoy viendo que llevo más de un mes sin escribir por aquí (En internet (casi) nadie te echará de menos.) pero es que mis horarios en esta primera parte del año son un poco raros y colisionan claramente con mis otras rutinas. A ver si retomamos la actividad, de momento con una intervención en casa de otros. Me (nos) escribió Henry, de tecnolocuras tratando de reproducir una idea que ha estado flotando por la blogosfera (aunque el formato era más de autoentrevista). En mi caso el resultado salió en #2 Conversaciones con blogueros: Fernando Tricas García y fue una buena oportunidad para reflexionar sobre esta actividad. Se pueden ver el resto en Entrevistas con blogueros donde seguramente podamos encontrar algún sitio nuevo para nuestro lector de RSS.

Por conservación del contenido, reproduzco aquí el texto:

El entrevistado es Fernando Tricas García, la persona detrás de https://elmundoesimperfecto.com

Entrevista
¿Qué te motivó a iniciar tu blog?

Yo era uno de los editores de un sitio de noticias y debates sobre software libre, que se llamaba BarraPunto. En algún momento se permitió a la gente tener su propia página con sus propios contenidos y lo llamamos las bitácoras. Poco después mi amigo Víctor Ruiz programó el sistema para publicar en Blogalia.com y allí empecé a tomarme más en serio lo de tener un blog. Ahora he pasado a un blog con mi propio dominio que es la continuación de ese (https://blog.elmundoesimperfecto.com/).

¿Cuáles consideras que son los principales desafíos a los que se enfrenta un bloguero en la actualidad?

Los desafíos no han cambiado mucho: encontrar tiempo y ganas de escribir en tu sitio con la frecuencia que se ajuste a ti. Es cierto que hubo algún momento en el que había mucha gente escribiendo y leyendo blogs y mucha de esa actividad pasó a las redes sociales pero eso no cambia demasiado la dinámica de un bloguero, salvo que su objetivo sea ser famoso o vivir de su sitio.

¿Cómo seleccionas los temas sobre los que escribes y cuál es tu proceso creativo?

Yo leo mucho, de temas variados, algunos por interés profesional y otros por interés personal. De esas lecturas guardo las que me parecen más interesantes (en realidad las guardo todas, soy un maniático de la conservación de información en digital; las que me motivan más las marco para escribir sobre ellas en algún momento). A veces son temas de actualidad (aunque nunca demasiada, el tiempo de comentar noticias del día y pasó) y otras veces temas más de fondo y de largo recorrido. Siempre (o casi) motivadas por la lectura de algo que ha llamado mi atención y donde creo que vale la pena señalar las ideas que me interesan. En algunas ocasiones, con algo de mi opinión personal.

¿Qué estrategias utilizas para captar a tu audiencia?

Soy bastante malo en eso. Tengo la impresión de que nadie (o muy poca gente) lee lo que escribo, pero creo que eso está bien. Ha sido una sorpresa agradable ver tu interés. Si después de tanto tiempo manteniendo una cierta regularidad no hay muchos lectores es porque seguramente no es tan interesante. En cualquier caso, mi motivación para escribir es guardar esas lecturas que llamaron mi atención, comentarlas y quién sabe si en el futuro volver a mirarlas. Lo importante para mi es el proceso: leo, selecciono, comento y es un círculo que se va realimentando.

¿Qué herramientas o plataformas consideras indispensables para la gestión de tu blog?

Un editor de texto (yo uso vim) y un sistema de gestión de versiones (ahora mismo estoy publicando fundamentalmente utilizando un generador de sitios estáticos, Jekyll, en GitHub pages). A la vez es muy importante para mi (aunque espero que no me suceda) tener la capacidad de reconstruir el sitio en otra parte (e incluso con una tecnología diferente) con poco esfuerzo. También considero indispensable el lector de RSS (utilizo feedly) para poder seguir un buen montón de fuentes de información; las redes sociales también me proporcionan enlaces a buenas lecturas en muchas ocasiones. Finalmente, utilizo Pocket para guardar los enlaces que quiero leer (raramente veo un enlace y lo leo, los guardo para leerlos más tarde) y un lector de tinta electrónica (ahora un Kobo, que me permite leer con comodidad lo que he guardado en Pocket).

¿Cómo manejas las críticas o comentarios negativos en tu blog?

Hace mucho tiempo que quité los comentarios del blog: no porque fueran negativos, sino porque fundamentalmente eran de spam. El tiempo invertido en rescatar los pocos comentarios interesantes no merecía la pena.

¿Has integrado alguna herramienta de inteligencia artificial en tu proceso de escritura? Si es así, ¿cómo la usas y qué impacto ha tenido en tu trabajo?

No. Estuve un tiempo generando un boletín de enlaces diario donde empecé a jugar con inteligencia artificial (antes del chatGPT) para clasificarlos y no descarto retomar el proyecto de nuevo cuando encuentre la herramienta adecuada (en aquel momento lo hacía con Revue, que la compró Twitter y luego la cerró).

¿Cómo crees que la inteligencia artificial afectará el futuro de los blogs y la creación de contenido en línea?

Ya les está afectando. Se ve en los sitios más comerciales cómo usan las inteligencias artificiales para generar textos, imágenes,... y en ese sentido seguimos con una tendencia ya consolidada de tratar de obtener el máximo beneficio con el mínimo esfuerzo. No me gusta mucho, pero nadie me obliga a leerlo, así que supongo que está bien para alguien y ya está. Para alguien que tiene un sitio personal, veremos herramientas que nos ayudarán en determinadas tareas y quién sabe cómo se integrará en nuestras rutinas. Yo no estoy cerrado en absoluto a añadir herramientas, pero de momento no he dedicado tiempo suficiente a pensar en ello.

¿De qué manera monetizas tu blog, si es el caso, y qué consejos darías a quienes buscan hacerlo?

No lo monetizo. Para mi el blog es una actividad que integro en mi vida profesional y personal sin más, y que no tenga monetización me da bastante libertad a la hora de escribir.

¿Cuál es el costo de mantener tu blog?

En este momento muy poquito: el coste del dominio y poco más (bueno, como siempre, hace falta un ordenador, leo en el kobo, la conexión a internet,...). Utilizo servicios gratuitos externos (GitHub Pages) y fácilmente reemplazables en caso de que dejen de serlo. Me seduce la idea de hacer una aproximación 'low cost' que cualquiera podría utilizar. Manteniendo, eso sí, un cierto control de los posibles daños en caso de que algún servicio gratuito deje de funcionar o empiece a tener coste.

¿Qué blogs o blogueros te inspiran y por qué?

Sigo un montón de sitios y presto atención a unos cuantos amigos de toda la vida: sin orden especial Consultoría artesana en la red (https://www.consultorartesano.com/), Torres Burriel (https://torresburriel.com/), entre los cercanos. También algunos como el de Simon Willison (https://simonwillison.net/); este además lleva un par de años de máxima actualidad por su apuesta divulgativa en temas de IA, o el linklog de Stephen Downes (https://www.downes.ca/); el de Jon Udell (https://blog.jonudell.net/). También algunos sitios de noticias como Slashdot (https://slashdot.org/), InfoQ (https://www.infoq.com/), OSNews (https://www.osnews.com/), o Hackaday (https://hackaday.com/), entre otros.
Esto es una selección apresurada y seguro que en un par de días veo en el lector de RSS alguno que no he dicho ahora.

¿Cómo ves el futuro del blogging en el mundo hispanohablante?

Afortunadamente, escribir un blog sigue siendo igual que siempre: sencillo, cómodo y accesible. En ese sentido seguirá habiendo personas que encuentren esta forma de publicar en internet adecuada y seguirá existiendo. No creo que de pronto vaya a convertirse en un medio de publicación para mucha gente, como sucedió hace unos años, aunque creo que no soy especialmente bueno pronosticando el futuro.

¿Qué consejo le darías a alguien que está pensando en crear su propio blog?

Que se lo tomen con calma, elijan alguna de las herramientas disponibles y prueben. Esto no es un matrimonio ni un contrato, así que si no les funciona, no hay problema. La calma la necesitarán porque es bastante probable que no tengan muchos lectores, así que más vale que les sirva a ellos para algo. Puede parecer pesimista, pero veintipico años después allí seguimos escribiendo, así que creo que tener un blog, e ir escribiendo me parece una buena idea.

Un nuevo éxito en #Ciberseguridad360º, esta vez en #Madrid. ¡Gracias por acompañarnos! 👏
🔒 Hemos reunido a grandes profesionales para compartir estrategias, buenas prácticas y experiencias sobre los desafíos de la #ciberseguridad. ¿Has estado?

¡Nos vemos en la próxima edición! pic.twitter.com/Xp1PJtmywC

— Sarenet (@Sarenet) February 11, 2025

Hace unas semanas me contactó un conocido de Sarenet para participar en 2ª Edición Encuentro Ciberseguridad 360º. Me pedían si podía hacer una pequeña panorámica históricas de lo sucedido en ciberseguridad. No soy historiador, así que mi aproximación es de aficionado, pero sí que me gusta traer y recordar historias para contextualizar lo que vamos viendo y tratar de aprender algunas lecciones, así que el otro día estuvimos por allí hablando un ratito del tema.

Empezamos hablando de cuando casi ni había internet y de cómo en los EEUU ya se preocupaban por la seguridad de los programas, y la ligaban a la complejidad, con los experimentos que ya hemos comentado alguna vez CHAPERON 1 y 2 (Penetrate, Exploit, Disrupt, Destroy: The Rise of Computer Network Operations as a Major Military Innovation).

Luego recordábamos a principios de siglo se hablaba de la complejidad de Linux frente a Windows, Windows vs Linux Server (versión archivada), Why Windows is less secure than Linux (versión archivada). Ya estaba a punto de dejar de usar esta información por obsoleta, pero el año pasado nos regalaron esta imagen que ‘revive’ la historia:

FreeCAD's build dependency graph in Debian, made using the `debtree` tool pic.twitter.com/hWP19AolUv

— Kurt WK (@thekurtwk) March 12, 2024

La complejidad es enemiga de la seguridad (y de más cosas), pero allí estamos.

A continuación recordamos el primer gusano, Morris Worm Tunnels Through Internet y cómo la causa era un desbordamiento de memoria (buffer overflow).

Pero si miramos la base de datos de vulnerabilidades, overflow CVE encontramos que es un fallo que sigue apareciendo con frecuencia (uno al día en diversos productos, desde principios de este año, por ejemplo), así que en esto tampoco hemos mejorado.

Luego recordamos aquellos años de virus, troyanos y otros programas maliciosos en general, con nombres como: CIH, Melissa, ILOVEYOU, Code Red, … y cómo dejaron de oirse estas cosas. Pero no es porque hubieran desaparecido, sino porque su creación se había profesionalizado y continuaron creándose, pero con efectos más discretos y más provechosos para sus creadores. De hecho, hay todo un mercado de compra venta de fallos de seguridad (los de día cero, esto es desconocidos para todo el mundo, los preferidos) y sitios para comprar y vender como Zerodium.

A continuación vino el caso de STUXNET y una de las primeras acciones de ciberguerra importantes, These Olympic Games Launched a New Era of Cyber Sabotage con nuevas lecciones aprendidas: da igual lo protegido que esté un sistema, siempre aparecen formas de introducir problemas (Dutch man sabotaged Iranian nuclear program without Dutch government’s knowledge: report una noticia del año pasado que lo devolvió por un momento a la actualidad).

Pero este caso es interesante porque una vez que se despliega una ‘solución’ de este tipo es muy difícil que sólo afecte a quienes motivaron la acción y pudimos ver cómo afectaba a otros, en W32.Stuxnet.

Esto nos da para pensar un poco:

• ¿Gobiernos como creadores de programas maliciosos?
• Mercados de compra y venta de estos programas
• Fallos de día cero utilizados en lugar de informar a los fabricantes
• ¿Los fallos para defender a tu gente, o para atacar a otros?

Acercándonos un poco en el tiempo recordamos el reciente caso del ataque The Solarwinds cyberattack’ donde se comparten algunas características con el anterior (tiempo dilatado de preparación, fallos de día cero, …) pero donde aparece una novedad que puede resultar muy peligrosa: en lugar de atacar a una empresa u organización atacan a sus proveedores. De esta manera pasan desapercibidos por los sistemas de defensa habituales y además el ataque se puede lanzar a mucha mayor escala. Tal y como nos mostraban en [PDF] Open Source Software Supply Chain Security - Why does it matter? fueron afectados incluso algunos organismos gubernamentales muy imporantes.

Con estos ataques, incluso aunque hagas bien las cosas en tu casa te puedes llevar la sorpresa a través de uno de tus proveedores. Les han dado el nombre de ataques a la cadena de suministro, y han provocado la aparición del Software Security in Supply Chains: Software Bill of Materials (SBOM), esto es, una descripción de las componentes que se incluyen con un programa informático, para poder conocer el problema si alguna de ellas tiene un problema de seguridad. En un país en el que, recordemos, no es obligatorio indicar en la etiqueta del agua embotellada los minerales que contiene (TRANSCRIPT The Bottle vs. Tap Battle Finale).

Para terminar con las historias y acercándonos todavía más en el tiempo hablamos del caso de los ataques a las personas de las que dependen algunos programas muy importantes para todo el mundo: What we know about the xz Utils backdoor that almost infected the world. Un desarrollador un poco cansado, que sigue manteniendo el programa porque lo ha hecho siempre. Pero, de pronto, se encuentra gente que le empieza a ayudar, luego a presionarle para que se eche a un lado y terminan infectando un producto que podría haber terminado en muchos sitios con efectos muy peligrosos.

Me gusta comentar siempre Why Was SolarWinds So Vulnerable to a Hack? It’s the economy, stupid sobre cómo algunos de estos problemas solo se arreglarán con regulación (bien aplicada y entendida) porque los incentivos están claramente en el lugar equivocado y no defienden a la gente. También, porque hace un par de años volvió a la actualidad, la [PDF] National Strategy to Secure Cyberspace (versión archivada) que promovió George Bush en 2003 y que Joe Biden relanzó/reformuló en 2023 [PDF] National Cybersecurity Strategy (versión archivada). Está por ver si el nuevo presidente hará algo en esta línea o no.

Para terminar, recordamos que la seguridad es un tema complicado porque te pueden dar un golpe por cualquier vía, como puso en evidencia el asunto de los buscas y Hezbollah el año pasado, What we know about the Hezbollah device explosions.

Me lo pasé bien preparando esta presentación, creo que a los asistes les interesó y aprovechamos para ver a viejos conocidos y, como siempre, conocer a nuevas personas. Ya que está preparada y ha alcanzado cierta madurez (diversos fragmentos se van contando a lo largo del tiempo en diversas versiones) estaré encontado de contársela a quien quiera.

Originalmente publicado en En la 2ª Edición del Encuentro Ciberseguridad 360º.